8.12. 身份管理


现在,常规用户的分页搜索不会影响性能

在以前的版本中,当目录服务器位于搜索负载下时,常规用户的分页搜索可能会影响服务器性能,因为锁与轮询网络事件的线程发生冲突。另外,如果在发送页搜索时发生网络问题,则整个服务器都没有响应,直到 nsslapd-iotimeout 参数过期为止。有了此更新,锁被分成几个部分,以避免与网络事件争用。因此,在常规用户的分页搜索过程中不会影响性能。

Bugzilla:1974242

模式复制现在可以在目录服务器中正常工作

在以前的版本中,当目录服务器将模式复制到新服务器时,它会将所有模式添加到远程副本上的 99user.ldif 文件中。这似乎都是自定义模式,因为对所有定义,X-ORIGIN 关键字都设为了 user defined。因此,可能会导致 web 控制台出现问题,也可能导致对监控架构并期望 X-ORIGIN 关键字有特定值的客户出现问题。有了此更新,模式复制可以按预期工作。

Bugzilla:1759941

Referra 模式现在可以在目录服务器中正常工作

在以前的版本中,CLI 将 nsslapd-referral 配置属性设置为后端,而不是映射树。因此,referral 模式无法正常工作。有了此更新,nsslapd-referral 属性会被正确设置,referral 模式可以按预期工作。

Bugzilla:2053204

LMDB 导入现在可以更快地工作

在以前的版本中,要构建 entryrdn 索引,LMDB 导入 worker 线程会等待其他 worker 线程,以确保父条目被处理。这会产生锁竞争,从而大大减慢导入速度。有了此更新,通过 LMDB 数据库的 LDIF 导入已被重新设计,提供者线程会在 worker 线程用来构建 entryrdn 索引的临时数据库中存储有关条目 RDN 及其父级的数据。因此,不再需要 worker 线程同步,平均导入率更佳。

请注意,LMDB 导入速率仍然比 BDB 导入慢三倍,因为 LMDB 不支持并发写事务。

Bugzilla:2116948

dirsrv 服务现在在重启后正确启动

在以前的版本中,dirsrv 服务在重启后无法启动,因为 dirsrv 服务没有明确等待 systemd-tmpfiles-setup.service 完成。这会导致竞争条件。有了此更新,dirsrv 服务会等待 systemd-tmpfiles-setup.service 完成,重启后不再无法启动。

Bugzilla:2179278

更改安全参数现在可以正常工作

在以前的版本中,当使用 dsconf instance_name security set 命令更改安全参数时,操作会失败并显示错误:

Name 'log' is not defined

有了此更新,security 参数更改可以正常工作。

Bugzilla:2189717

SSSD 现在在评估基于 GPO 的访问控制时使用 sAMAccountName

在以前的版本中,如果 ldap_user_name 在 AD 客户端上被设置为 sAMAccountName 以外的值,则基于 GPO 的访问控制失败。有了此更新,在评估基于 GPO 的访问控制时,SSSD 总是使用 sAMAccountName。即使 ldap_user_name 在 AD 客户端上被设置为与 sAMAccountName 不同的值,基于 GPO 的访问控制现在也可以正常工作。

Jira:SSSD-6107

在检索用户时,SSSD 现在可以处理 user_attributes 选项中的重复属性

在以前的版本中,如果 sssd.confuser_attributes 选项中包含重复属性,则 SSSD 无法正确处理这些重复。因此,具有这些属性的用户无法被检索。有了此更新,SSSD 可以正确地处理重复。因此,具有重复属性的用户现在可以被检索。

Jira:SSSD-6177

现在,动态 Kerberos PAC 票据签名强制机制修复了 IdM 中的跨版本不兼容

在以前的版本中,如果您的身份管理(IdM)部署的服务器同时在 RHEL 9 和 RHEL 8 上运行,则由 Privilege Attribute 证书(PAC)票据签名支持的上游实现导致的不兼容性会导致某些操作失败。有了此更新,RHEL 9 中的动态票据签名强制机制功能的实现修复了这个跨版本不兼容。要使这个功能实际生效,您必须:

  1. 更新 域中的所有服务器。
  2. 重启所有 IdM Kerberos 分发中心(KDC)服务。

这两个操作的顺序非常重要。启动时,KDC 会查询域中所有其他服务器的元数据,以检查它们是否都支持 PAC 票据签名。否则,签名不会被强制执行。

有关动态 Kerberos PAC 票据签名强制机制的更多信息,包括受限委托请求的示例,请参阅此 知识库文章

JIRA:RHELDOCS-17011[1], Bugzilla:2182683,Bugzilla:2178298

现在不再允许删除 IdM admin 用户

在以前的版本中,如果您是 admins 组的成员,则无法阻止您删除身份管理(IdM) admin 用户。缺少 admin 用户会导致 IdM 和活动目录(AD)之间的信任停止正常工作。有了此更新,您可以不再删除 admin 用户。因此,IdM-AD 信任可以正常工作。

Bugzilla:2229712

ipa-kdb 不再导致 krb5kdc 失败

在以前的版本中,ipa-kdb 驱动程序不会区分没有服务器主机对象和连接失败。因此,krb5kdc 服务器有时会意外停止,由于与 LDAP 服务器的连接问题产生的 NULL LDAP 上下文。

有了此更新,ipa-kdb 驱动程序可以正确地识别连接失败,并将它们与没有服务器主机对象进行区分。因此,krb5kdc 服务器不会再失败。

Bugzilla:2227831

IdM 客户端安装程序不再在 ldap.conf 文件中指定 TLS CA 配置

在以前的版本中,IdM 客户端安装程序在 ldap.conf 文件中指定 TLS CA 配置。有了此更新,OpenSSH 使用默认的信任存储,IdM 客户端安装程序不会在 ldap.conf 文件中设置 TLS CA 配置。

Bugzilla:2094673

当可信 AD 用户的名称包含混合问题单字符时,IdM 客户端可以正确地检索它们的信息

在以前的版本中,如果您尝试用户查找或用户的身份验证,并且可信活动目录(AD)用户在其名称中包含混合大小写字符,且在 IdM 中使用覆盖进行了配置,则会返回一个错误,阻止用户访问 IdM 资源。

随着 RHBA-2023:4359 的发布,区分大小写的比较将被忽略字符大小写的不区分大小写的比较替代。因此,IdM 客户端现在可以查找 AD 可信域的用户,即使其用户名包含混合大小写字符,且它们在 IdM 中使用覆盖进行了配置。

JIRA:SSSD-6096

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.